Nieuws
image

Microsoft patch bepaalt lot Firefox plugin

dinsdag 20 oktober 2009, 10:15 door Redactie, 5 reacties

Afhankelijk van hoe snel Firefox-gebruikers een beveiligingsupdate voor Internet Explorer installeren, zal Mozilla een geblokkeerde plugin weer vrijgeven. Vorige week dinsdag verscheen er een update voor Microsoft's browser, maar snel werd duidelijk dat die ook gevolgen voor een Firefox add-on en plugin had. Afgelopen vrijdag besloot Mozilla na overleg met Microsoft de .NET Framework Assistant add-on en Windows Presentation Foundation plugin te blokkeren. Twee dagen later liet Microsoft weten dat de .NET Framework Assistant toch niet kwetsbaar voor aanvallers was, waarop Mozilla de add-on van de blocklist besloot te verwijderen.

Microsoft bevestigde dat de Windows Presentation Foundation plugin wel een risico vormt, tenzij de patch van het MS09-054 bulletin is geïnstalleerd. Gisteren wijzigde Mozilla wederom de blocklist, zodat Firefox-gebruikers die over de patch beschikken, de plugin weer kunnen inschakelen. Hoe snel overige Firefox-gebruikers de relevante patch installeren, bepaalt wanneer de plugin helemaal van de blocklist verdwijnt. Microsoft houdt de situatie in de gaten, maar Mozilla's Mike Shaver verwacht dat het morgen zover zal zijn.

Samenwerking
Zowel Microsoft als Mozilla zijn erg over de samenwerking te spreken. "Beveiliging is een topprioriteit voor alle Microsoft klanten, en we hebben samen besloten dat het tijdelijk blokkeren van plugin en add-on de beste oplossing was, terwijl Firefox-gebruikers de Internet Explorer patch kunnen installeren. We stellen de gezamenlijke inzet van Mozilla om onze gemeenschappelijke klanten te beschermen op prijs, en kijken ernaar uit om in de toekomst nauwer bij dit soort problemen samen te werken", aldus Stephanie Boesch, Program Management directeur bij Microsoft.

Reacties (5)
20-10-2009, 11:23 door spatieman
laat gebruikers ZELF bepalen of ze die shit willen uitschakelen...
ik denk dat die dus netjes DISABLED zal zijn...
20-10-2009, 11:31 door Anoniem
Je kunt gebruikers dit zelf bepalen. Dit zal werken voor de gebruikers die hier verstand van hebben.
Maar er is een grote groep Firefox gebruikers die niet eens weten wat een browser is, laat staan of een plugin wel of niet gevaarlijk is.
20-10-2009, 13:52 door Anoniem
Ik vind het vreemd dat Mozilla toegang gaat blokkeren tot zo'n plugin. Het is de verantwoording van de gebruiker om zijn systeem te patchen, en zo blokkeer je bovendien ook toegang voor mensen die helemaal niet vulnerable zijn. Als er al een blokkade moet zijn dan moet deze enkel van toepassing zijn wanneer je de update nog niet hebt geinstalleerd. Daarnaast zou een waarschuwing beter zijn, zodat mensen in deze waarschuwing kunnen lezen dat ze vulnerable zijn, en hoe ze deze situatie kunnen verhelpen.

Is er overigens uberhaupt sprake van het actief exploiteren van de gevonden vulnerability ? Of gaat het om het voorkomen van een theoretisch mogelijke aanval, terwijl er (nog) geen sprake is van exploits ?
20-10-2009, 16:04 door prikkebeen
En dat is weer Microsoft. Het bedrijf dat stond te roepen dat de Google Frame Plugin voor Internet Explorer de aanvalsvector van hun browser zou vergroten. Kijk eens wat er nu gebeurt is. Het is de lock-in machine van Microsoft ten voeten uit.

@Anoniem 13.52 MS heeft geen versienummer toegekend aan de add-on heb ik ergens gelezen. Het is dus alles of niets.
Niet iedereen kan zomaar zijn machines patchen omdat er getest moet worden.
21-10-2009, 10:30 door Anoniem
Als je helemaal van deze badware af wilt komen moet moet je de volgende sleutel uit het register verwijderen (hij heet WPF): in
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins

Dan staat hij compleet niet meer in de plugin lijst!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure